Les certificats SSL ne suffisent plus

sebsauvage Messages postés 33415 Statut Modérateur -
Utilisateur anonyme - 27 mars 2010 à 15:44

Visiblement, il est possible d'espionner les communication chiffrées (HTTPS, email, VOIP, VPN...) sans lever la moindre alerte de certificat SSL.

C'est pas bien joli, tout ça.

https://sebsauvage.net/rhaa/index.php?2010/03/26/12/03/17-les-certificats-ssl-ne-suffisent-plus

Afficher la suite

A voir également:

Les certificats SSL ne suffisent plus
Https //www.google.com/ gws_rd=ssl virus - Forum Virus
La connexion vpn ssl est désactivé forticlient ✓ - Forum Réseau
Https://ad.doubleclick.net - Forum Samsung
Impossible de valider le certificat l'application ne sera pas exécutée ✓ - Forum Réseaux sociaux
Connexion ssl impossible iphone ✓ - Forum iPhone

2 réponses

Réponse 1 / 2

teutates Messages postés 19847 Date d'inscription Statut Modérateur Dernière intervention 3 588

Du coup, je viens de me rendre compte que j'utilise pour un certain site assez connu un certificat périmé depuis 2004 ! Si la date de péremption est passée, on va finir à l'hosto ? Docteur, qu'est ce qu'on risque dans ce cas ?!

sebsauvage Messages postés 33415 Statut Modérateur 15 667

En principe les certificats dépassé sont automatiquement désactivés.
Et même pour les certificats encore valides, les logiciels sont censés questionner régulièrement des serveurs de révocation.

Réponse 2 / 2

Utilisateur anonyme

Bonjour,

Merci sebsauvage pour ces informations.

Mais d'après ce que j'ai compris, le problème qui se pose vraiment est au niveau de la confiance que nous donnons à ces autorités, mais en aucun cas la possibilité qu'un pirate (avec comme but de nous voler des informations confidentielles) ait en possession un certificat valide ?

Merci pour les éclaircissements.
????f????????? ; Appelez moi Fahd ;-)

sebsauvage Messages postés 33415 Statut Modérateur 15 667

Effectivement, combiné à un détournement de trafic réseau (par exemple par DNS poisonning), la corruption d'un CA permettra de se faire passer pour le site d'une banque sans alerte SSL.

Cela permet de faire des attaques MITM (Man in the middle) sans lever d'alerte SSL.

Utilisateur anonyme > sebsauvage Messages postés 33415 Statut Modérateur

Je ne suis pas sûr de comprendre à 100%, mais comment les pirates pourront avoir un certificat SSL valide ?

sebsauvage Messages postés 33415 Statut Modérateur 15 667

Tu créé un certificat qui ressemble à celui que tu veux imiter (mêmes infos), puis tu t'arrange pour le faire signer par une CA (social engineering, menaces, dessous de table, injonction judiciaire...).

Utilisateur anonyme > sebsauvage Messages postés 33415 Statut Modérateur

Merci ;-)

Discussions similaires

https:www.google.fr

Savoir si virus ?

Télécharger sans cryptage SSL ??

Problème bizarre (Erreur SSL)

SSL

Les certificats SSL ne suffisent plus

2 réponses

Votre réponse

Discussions similaires

Newsletters